連續攻擊

隨風浮雲 · 發表於 2006-7-21 05:55:44

馬上註冊，結交更多好友，享用更多功能，讓你輕鬆瀏覽論壇。

你需要登入才可以下載或檢視，沒有帳號？我要註冊

x

下面這個發信主機，一直重覆發送郵件攻擊，MDAEMON 似乎沒有好的方法可以抵擋攻擊。
Thu 2006-07-20 20:58:09: ---------- Partial transcript, remainder will follow.
Thu 2006-07-20 20:58:09: [81:1] Session 81; child 1; thread 752
Thu 2006-07-20 20:56:41: [81:1] Accepting SMTP connection from [218.254.218.168 : 2824]
Thu 2006-07-20 20:56:41: [81:1] Performing PTR lookup (168.218.254.218.IN-ADDR.ARPA)
Thu 2006-07-20 20:56:41: [81:1] * D=168.218.254.218.IN-ADDR.ARPA TTL=(59) PTR=[cm218-254-218-168.hkcable.com.hk]
Thu 2006-07-20 20:56:41: [81:1] * Gathering A records...
Thu 2006-07-20 20:56:42: [81:1] * D=cm218-254-218-168.hkcable.com.hk TTL=(480) A=[218.254.218.168]
Thu 2006-07-20 20:56:42: [81:1] ---- End PTR results
Thu 2006-07-20 20:56:42: [81:1] --> 220 company.com.tw ESMTP MAIL ready
Thu 2006-07-20 20:56:43: [81:1] <-- EHLO cm218-254-218-168.hkcable.com.hk
Thu 2006-07-20 20:56:43: [81:1] Performing IP lookup (cm218-254-218-168.hkcable.com.hk)
Thu 2006-07-20 20:56:43: [81:1] * D=cm218-254-218-168.hkcable.com.hk TTL=(479) A=[218.254.218.168]
Thu 2006-07-20 20:56:43: [81:1] ---- End IP lookup results
Thu 2006-07-20 20:56:43: [81:1] --> 250-company.com.tw Hello cm218-254-218-168.hkcable.com.hk, pleased to meet you
Thu 2006-07-20 20:56:43: [81:1] --> 250-ETRN
Thu 2006-07-20 20:56:43: [81:1] --> 250-AUTH=LOGIN
Thu 2006-07-20 20:56:43: [81:1] --> 250-AUTH LOGIN CRAM-MD5
Thu 2006-07-20 20:56:43: [81:1] --> 250-8BITMIME
Thu 2006-07-20 20:56:43: [81:1] --> 250 SIZE 0
Thu 2006-07-20 20:56:44: [81:1] <-- MAIL FROM:<[email protected]>
Thu 2006-07-20 20:56:44: [81:1] --> 550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk
Thu 2006-07-20 20:56:45: [81:1] <-- RSET
Thu 2006-07-20 20:56:45: [81:1] --> 250 RSET? Well, ok.
Thu 2006-07-20 20:56:46: [81:1] <-- MAIL FROM:<[email protected]>
Thu 2006-07-20 20:56:46: [81:1] --> 550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk
Thu 2006-07-20 20:56:47: [81:1] <-- RSET
它一直試到
Fri 2006-07-21 01:04:22: [269:3] --> 250 RSET? Well, ok.
Fri 2006-07-21 01:04:22: [269:3] <-- MAIL FROM:<[email protected]>
Fri 2006-07-21 01:04:22: [269:3] --> 550 Domain company.com.tw does not accept mail from c-69-180-131-172.hsd1.mn.comcast.net
Fri 2006-07-21 01:04:23: [269:3] <-- RSET
Fri 2006-07-21 01:04:23: [269:3] --> 250 RSET? Well, ok.
Fri 2006-07-21 01:04:23: [269:3] <-- MAIL FROM:<[email protected]>
Fri 2006-07-21 01:04:23: [269:3] --> 550 Domain company.com.tw does not accept mail from c-69-180-131-172.hsd1.mn.comcast.net
Fri 2006-07-21 01:04:24: [269:3] <-- RSET
Fri 2006-07-21 01:04:24: [269:3] --> 250 RSET? Well, ok.
Fri 2006-07-21 01:04:24: [269:3] Winsock Error 10054 Connection was reset by the other side!
Fri 2006-07-21 01:04:24: [269:3] SMTP session terminated (Bytes in/out: 351567/927048)

結果這四小時，頻寬被它吃完，拿它一點辦法都沒有，MDAEMON應該多一個設定，收件者超過幾個人，就直接給它斷線不要讓它再試了。

P.S. 雖然有設防火牆，但是公司長期對內對外傳輸大型檔案，所以也無法設規則判定連線時間。

MarchFun · 發表於 2006-7-21 11:04:13

遇到這種的，大概只有直接封 IP 一途了。

隨風浮雲 · 發表於 2006-7-21 22:14:25

它使用的是動態IP，而且還一直更換IP，這個IP還是不同的網段，所以只能封主機名，但是MDAEMON還是會出現
550 Domain company.com.tw does not accept mail from cm218-254-218-168.hkcable.com.hk

一直讓它重試。
今天被攻擊了八個小時，LOG資料高達140頁。

MarchFun · 發表於 2006-7-21 23:34:55

如果是這樣就真的沒有辦法了。

MarchFun · 發表於 2006-7-22 10:57:31

我想到還有另外一條路可以補 MDaemon 的不足，就是 Pre-processing。讓　MDaemon 在處理郵件前先交給其他自訂的程式處理。不過這個自訂的程式有沒有簡單的方法及語言來寫，這點就沒有研究過了。

隨風浮雲 · 發表於 2006-7-22 12:07:55

力晶的EXCHANGE SERVER 外掛的廣告信測試方法是：你第一次寄信給它們，它會依你給它的EMAIL回一封信給你，如果寄信者存在，就接受你的信件，不然直接踢掉，這個就很好用，至於是他們那位MIS人員寫的就不可考了。

其實我上面這個情形，到今天早上還在被攻擊，不知道我如何招惹這個傢伙了，它一直換IP，而且寄、收件者，都用隨機的方式大量產生，所以我才提到這種方法就只有以控制收件者數量大於幾封，然後直接封IP幾分鐘的控制方式才能解決。

隨風浮雲 · 發表於 2006-7-23 03:57:22

Sun 2006-07-23 03:03:41: [4046:1] <-- RCPT TO: <[email protected]>
Sun 2006-07-23 03:03:41: [4046:1] More than 5 RCPT commands encountered; this session tarpitted with a 15 second initial delay scaling by 1.00

今天又來個連續攻擊，不過這次MDAEMON卻擋掉，所以它只擋正常發信程序，如果像我上面的情況，發信者一直以不同的發信者重試，雖然已設定不接受該主機名或該IP，它就不擋了，真是Orz　

隨風浮雲 · 發表於 2006-7-31 11:34:18

找到了不是很好的解決方法，利用 Dynamic Screening 封IP 段且設定連線時間。
# Dynamic Screening Database
#
# This file lists IP addresses which have been automatically banned by the
# Dynamic Screening system.
#
# Entries take this form:　IP<space>Minutes
# Ex: 192.168.0.1 60 - this means the IP 192.168.0.1 can not connect for 60
# minutes.

為什麼說不是很好的解決方法，因為攻擊我的IP 段，是隨機且攻擊時間不一，也就是一堆彊屍電腦被當作跳板攻擊。

隨風浮雲 · 發表於 2006-7-31 22:47:17

測試結果失敗，因為MDAEMON會自動計時，也就是你設定封住三十分鐘，它就開始到數計時，三十分鐘後就歸零，封IP就失效了。

		自動登入	取回密碼
密碼			我要註冊